L96

双向认证SSL指令示列

对下游使用证书指令

Syntax: ssl_certificate file;
Default:
Context: httpserver
Syntax: ssl_certificate_key file;
Default:
Context: httpserver

代码示列 首先需要将 ngx_http_ssl_module编译进nginx 一般证书可以动态生成 详见 SSL证书生成方式

listen  ssl; # managed by Certbot
 ssl_certificate /etc/letsencrypt/live/shoppas.com.cn/fullchain.pem; # managed by Certbot
 ssl_certificate_key /etc/letsencrypt/live/shoppas.com.cn/privkey.pem; # managed by Certbot
 include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
 ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

如何验证下游证书

Syntax: ssl_client_certificate file;
Default:
Context: httpserver
Syntax: ssl_verify_client on | off | optional | optional_no_ca;
Default: 
ssl_verify_client off;
Context: httpserver

如何对上游使用证书 如果需要链接上游 可以在location设置独立的证书

Syntax: proxy_ssl_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_certificate_key file;
Default:
Context: httpserverlocation

如何验证上游的证书

Syntax: proxy_ssl_trusted_certificate file;
Default:
Context: httpserverlocation
Syntax: proxy_ssl_verify on|off;
Default: 
proxy_ssl_verify off;
Context: httpserverlocation

SSL模块提供的变量

  • ssl_cipher : 本次通讯选用的安全套件
  • ssl_ciphers : 客户端支持的所有安全套件
  • ssl_protocal : 本次通讯选用的 TLS 版本
  • ssl_curves:客户端支持的椭圆曲线

证书

  •   ssl_client_raw_cert: 原始客户端证书内容
  •   ssl_client_escaped_cert:返回客户端证书做urlencode编码后的内容
  •   ssl_client_cert:对客户端证书每一行内容前加tab制表符空白,增强可读性
  •   ssl_client_fingerprint:客户端证书的SHA1指纹

证书结构化信息

  •   ssl_server_name 通过TLS插件SNI获取到服务域名
  •   ssl_client_i_dn 依据RFC2253获取到证书issuer nd信息 如: CN=...,O=...,L=...,C=..,
  •   ssl_client_i_dn_legacy 依据RFC2253获取到证书issuer nd信息 如: /CN=.../O=.../L=.../C=...
  •   ssl_client_s_dn  依据RFC2253获取到证书subject dn信息
  •   ssl_client_s_dn_legacy   依据RFC2253获取到证书subject dn信息 格式不一样而已

证书有效期

  •   ssl_client_v_end 返回客户端正式的过期时间
  •   ssl_client_v_ramain 返回还有多少天客户端证书过期
  •   ssl_client_v_start 客户端证书颁发时间

链接有效性

  ssl_client_serial 返回连接上客户端证书的序列号

  ssl_early_data 在TLS1.3协议中使用early data且握手未完成返回1 否则返回空字符串

  ssl_client_verify 如果验证失败为FAILED原因 如果没有验证证书则为NONE 验证成功为SUCCESS

  ssl_session_id 已经建立连接的sessionId

  ssl_session_reused 如果session被复用 则为r 否则为.

创建证书示列

创建根证书

  创建CA私钥命令 : openssl genrsa -out ca.key 2048

  创建CA公钥 :openssl req -new -x509 -days 3650 -key ca.key -out ca.crt  //后面可能让输入很多选项 比如国家 城市 等

签发证书

  创建私钥

  openssl genrsa -out a.pem 1024 //创建证书a

  openssl rsa -in a.pem -out a.key //创建a证书的公钥

  生成签发请求

  openssl req -new -key a.pem -out a.csr //针对a证书做签发

  使用CA证书进行签发

  openssl x509 -req -sha256 -in a.csr -CA ca.crt -CAKey ca.key -CAcreateserial -days 3650 -out a.crt //使用ca证书来签发a证书

  验证签发证书是否正确

  openssl verify -CAfile ca.crt a.crt

Nginx 对上游使用SSL链接的更多相关文章

  1. Ubuntu Nginx下配置网站ssl实现https访问

    最近在看  HTTP权威指南   看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...

  2. Nginx集群之SSL证书的WebApi微服务

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi微服务... 1 3       HTTP与HTTPS(SSL协议)... 1 4       Ope ...

  3. Nginx集群之SSL证书的WebApi身份验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi身份验证... 1 3       AuthorizeAttribute类... 2 4       ...

  4. Nginx集群之SSL证书的WebApi令牌验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi令牌验证... 1 3       Openssl生成SSL证书... 2 4       编写.NE ...

  5. Linux下Nginx配置阿里云 SSL证书实现HTTPS访问

    这篇文章主要介绍了nginx配置ssl证书实现https访问的示例 1.服务器系统:Centos 2. 阿里云申请SSL证书 选择“免费版DV SSL”,点击立即购买: 下载证书 列表中找到已签发的证 ...

  6. nginx:[emerg]unknown directive "ssl"

    nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:102 到解压的nginx目录 ...

  7. Nginx 接受上游缓存流程

    L:101 这个指令主要是由上游服务器来决定是否缓存 详见博客Nginx 针对上游服务器缓存

  8. Nginx 当上游服务器返回失败时的处理办法

    陶辉95课 Syntax: proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503  ...

  9. Linux 搭建Nginx并添加配置 SSL 证书

    1. 安装准备   1.1 gcc安装 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需要安装: [root@nginx ~]# yum -y i ...

随机推荐

  1. 阅读ARM Memory(L1/L2/MMU)笔记

    <ARM Architecture Reference Manual ARMv8-A>里面有Memory层级框架图,从中可以看出L1.L2.DRAM.Disk.MMU之间的关系,以及他们在 ...

  2. Python从菜鸟到高手(18):类与方法的私有化

    1. 创建自己的类 学习面向对象的第一步,就是创建一个类.因为类是面向对象的基石.Python类和其他编程语言(Java.C#等)的类差不多,也需要使用class关键字.下面通过一个实际的例子来看一下 ...

  3. 朱晔和你聊Spring系列S1E8:凑活着用的Spring Cloud(含一个实际业务贯穿所有组件的完整例子)

    本文会以一个简单而完整的业务来阐述Spring Cloud Finchley.RELEASE版本常用组件的使用.如下图所示,本文会覆盖的组件有: Spring Cloud Netflix Zuul网关 ...

  4. 07 YAPI/基础设施 - DevOps之路

    07 YAPI/基础设施 - DevOps之路 文章Github地址,欢迎start:https://github.com/li-keli/DevOps-WiKi 简介 YApi 是一个可本地部署的. ...

  5. 七、xadmin 编辑界面实现二级联动

    很多时候,我们会遇到这种需求,通过一个select框中选择的值,去动态的加载另一个下拉框中的内容 对于前端的同学来讲,这个本应该是一个很简单的需求,获取第一个下拉框的值然后通过ajax去动态加载即可. ...

  6. 反射reflect

    JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意方法和属性:这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制. ...

  7. Redis集群之Jedis的使用

    maven依赖 <!-- Redis客户端 --> <dependency> <groupId>redis.clients</groupId> < ...

  8. 【学习总结】Git学习-参考廖雪峰老师教程二-安装Git

    学习总结之Git学习-总 目录: 一.Git简介 二.安装Git 三.创建版本库 四.时光机穿梭 五.远程仓库 六.分支管理 七.标签管理 八.使用GitHub 九.使用码云 十.自定义Git 期末总 ...

  9. 搭建RISC-V错误记录

    错误:riscv64-unknown-elf-gcc: Command not found 解决办法:将riscv64-unknown-elf-gcc文件拷贝到根目录的/bin目录下. 原因是make ...

  10. asp.net mvc5 action多个参数

    需要完成http://site.com/user/add/1/2这样的url解析 使用action的参数直接获取数据的方式 Action声明如下 ) { ViewBag.clubID = id; ) ...